nirashab Jul 27 2023 at 07:53

Оценочный уровень доверия (ОУД4) и ГОСТ Р ИСО/МЭК 15408-3-2013. Оценщик

11 min

2.8K

Swordfish Security corporate blogInformation Security*Development Management*DevOps*

Comments 4

nikhotmsk Jul 27 2023 at 13:17

Скажите, а в стандарте есть какие-нибудь рекомендации о том, как именно проводить code review, статический анализ кода, динамический анализ кода, фаззинг-тестирование? Как убедиться, что эти работы выполнены качественно?

nirashab Jul 28 2023 at 08:58

15408 - это больше про то, как формировать доверие, выполнение каких требований его формирует. То, что вы спрашиваете, в данном ГОСТе не описано. Конкретика, по идее, должна быть в 56939, который сейчас уточняется. Если надо здесь и сейчас, то это лучше обращаться к консультантам, которые собаку съели на этих проверках.

andrettv Jul 28 2023 at 07:56

Интересно, а кто-нибудь проводил сравнительный анализ по количеству инцидентов безопасности до аудита по ОУД и после его успешного прохождения? Если выполнение требований требует серьезных затрат времени и ресурсов, но не приводит к заметному улучшению безопасности на практике, то, мне кажется, сегодня многие предпочтут натренировать нейросеть готовить правдоподобные отчеты к каждому аудиту… Занятные размышления на эту тему недавно опубликовал основатель OWASP.

nirashab Jul 28 2023 at 09:08

В открытых источниках подобных сравнений не видел. Из личного опыта, сравнивали результаты пентеста прошлого релиза системы (до внедрения SAST/SCA) и текущего (после внедрения). Эффект был. Если "до" отчёт содержал около 100 пунктов, то "после" было только 2 уязвимости.